zoukankan      html  css  js  c++  java
  • ELK 日志系统入门及通过 Docker 部署

    1. ELK 系统是什么

    ELK 是一套日志中心解决方案,其三个字母分别表示:

    • Elasticsearch:负责日志存储及检索
    • Logstash:负责日志收集、过滤及格式化
    • Kibana:数据看板,负责日志展示及数据可视化

    Elasticsearch 是自带搜索引擎的数据库。

    2. ELK 系统常见用途

    1. 网络监控

    可以用来监控网络设备。

    2. 应用监控

    实时监控业务:如访问量、终端类型
    分析业务:可以调取日志分析平均每秒请求数、峰谷请求数、API 请求数等,用于系统扩容的参考。

    3. 特殊用途

    分析用户画像。

    3. Docker 容器化应用日志中心

    除了应用镜像外,ELK 对应的镜像分别是 logstashelasticsearchkibana 三个。

    1. 开启 Docker 宿主机的 rsyslog 服务

    编辑服务的配置文件:

    vi /etc/rsyslog.conf

    开启下面的三个参数,让 rsyslog 加载 imtcp 模块并监听 514 端口,然后将 rsyslog 收集到的数据转发到 4560 端口:

    $ModLoad imtcp
    $InputTcpServerRun 514
    *.* @@localhost:4560

    重启 rsyslog 服务,并查看 514 端口是否监听成功:

    systemctl restart rsyslog
    netstat -ntpl

    2. 部署 ELK

    部署 ElasticSearch 服务

    docker run -d -p 9200:9200 -v 
     ~/elasticsearch/data:/usr/share/elasticsearch/data 
     --name elasticsearch elasticsearch

    部署完成后可以访问宿主机的 9200 端口验证服务是否部署成功。成功时会输出 JSON 格式的版本信息。

    部署 Logstash 服务

    ~/logstash/ 目录下创建 logstash.conf 配置文件,将 Logstash 服务配置为从本地的 rsyslog 服务获取应用日志数据,然后转发到 Elasticsearch 数据库。配置文件内容如下:

    input {
      syslog {
        type => "rsyslog"
        prot => 4560
      }
    }
    output {
      elasticsearch {
        hosts => [ "elasticsearch:9200" ]
      }
    }

    启动 Logstash 容器:

    docker run -d -p 4560:4560 
      -v ~/logstash/logstash.conf:/etc/logstash.conf 
      --link elasticsearch:elasticsearch 
      --name logstash logstash 
      logstash -f /etc/logstash.conf

    部署 Kibana 服务

    docker run -d -p 5601:5601 
      --link elasticsearch:elasticsearch 
      -e ELASTICSEARCH_URL=http://elasticsearch:9200 
      --name kibana kibana

    启动应用程序产生日志

    注意,启动应用程序的容器时,需要设置将日志转发到 syslog 服务中。

    docker run -d -p 80:80 
      --log-driver syslog 
      --log-opt syslog-address=tcp://localhost:514 
      --log-opt tag="nginx" 
      --name nginx
      nginx

    3. 测试

    产生应用日志

    打开浏览器,并多次访问 localhost:80 来让应用程序生产日志。

    打开 Kibana 可视化界面

    在 localhost:5601 页面中,查看日志信息。可以在查询框中输入 program=nginx 查询特定日志。

  • 相关阅读:
    Firefox+BurpSuite绕过HSTS抓包
    如何在百万行代码中发现隐藏的后门
    10款常见的Webshell检测工具
    真实揭露:一段激情.视频裸.聊被骗的经历
    Kerberos速查表:如何攻击Kerberos
    在线播放视频加密/PDF电子书在线加密
    私人珍藏:WAF攻防实战笔记
    渗透利器 | 提权辅助工具箱
    这些年,我们一直追逐的漏洞利用神器
    如何防止CDN防护被绕过
  • 原文地址:https://www.cnblogs.com/kika/p/10851687.html
Copyright © 2011-2022 走看看